Con el respaldo de muchas de las empresas más grandes del mundo durante más de una década, la especificación de intercambio de datos de paquetes de software (SPDX) es ahora un estándar ISO/IEC JTC 1 reconocido internacionalmente.
La Fundación Linux anunció el jueves que la especificación SPDX se ha publicado como ISO/IEC 5962:2021. Ahora es el estándar abierto para seguridad, cumplimiento de licencias y otros artefactos de la cadena de suministro de software.
Esto llega durante un momento de transformación para el software y la seguridad de la cadena de suministro.
ISO/IEC JTC 1 es un organismo de normalización independiente y no gubernamental con sede en Ginebra. Sus miembros representan a más de 165 organismos nacionales de normalización. Sus expertos comparten conocimientos y desarrollan estándares internacionales voluntarios, basados en el consenso y relevantes para el mercado que respaldan la innovación y brindan soluciones a los desafíos globales.
Con el 90 por ciento de una aplicación moderna ensamblada a partir de componentes de software de código abierto, esta es una ventaja significativa para LF y el código abierto.
Intel, Microsoft, Phillips, Sony, Texas Instruments, Synopsys y VMware se encuentran entre las empresas globales que utilizan SPDX para comunicar la información de la lista de materiales de software (SBOM) en políticas o herramientas para garantizar un desarrollo seguro y compatible en las cadenas de suministro de software global.
“SPDX juega un papel importante en la generación de más confianza y transparencia en la forma en que se crea, distribuye y consume el software en las cadenas de suministro. La transición de un estándar industrial de facto a un estándar ISO/IEC JTC 1 formal posiciona a SPDX para una adopción dramáticamente mayor en el ámbito global”, dijo a LinuxInsider Jim Zemlin, director ejecutivo de Linux Foundation.
Zemlin agregó que SPDX ahora está perfectamente posicionado para cumplir con los requisitos internacionales de seguridad e integridad del software en toda la cadena de suministro.
Gran oferta de SBOM para el código abierto
La seguridad y la confianza del software son fundamentales para el éxito de nuestra industria, según Melissa Evans, vicepresidenta del Grupo de Tecnología Avanzada y Software y Gerente General de Estrategia para la Ejecución de Intel.
“Intel ha sido uno de los primeros participantes en el desarrollo de la especificación SPDX y utiliza SPDX tanto interna como externamente para varios casos de uso de software”, dijo.
SPDX evolucionó orgánicamente durante los últimos 10 años a través de la colaboración de cientos de empresas, incluidos los proveedores líderes de análisis de composición de software (SCA). Esto lo convierte en el estándar de lista de materiales de software más robusto, maduro y adoptado.
Tener un SBOM proporciona una lista de los componentes de software contenidos en una aplicación, ya sea que el software sea de código abierto, propietario o de terceros. Detalla sus atributos de calidad, licencia y seguridad.
Los SBOM se utilizan como parte de una práctica fundamental para rastrear y rastrear componentes en las cadenas de suministro de software. Los SBOM también ayudan a identificar proactivamente los problemas y riesgos de los componentes de software. Esto, a su vez, establece un punto de partida para su remediación.
Adoptantes clave impulsaron la adopción de SPDX
Microsoft adoptó SPDX como su formato SBOM de elección para el software que produce, señaló Adrian Diglio, gerente principal de programas de seguridad de la cadena de suministro de software en Microsoft. “SPDX facilita la producción de SBOM que cumplen con la Orden ejecutiva presidencial de EE. está tomando con el diseño de su esquema de próxima generación ayudará a mejorar aún más la seguridad de la cadena de suministro de software”, dijo.
SPDX es el hilo común esencial entre las herramientas bajo el paraguas de Automatización de herramientas de cumplimiento (ACT), agregó Rose Judge, presidenta de ACT TAC e ingeniera de código abierto en VMware. Permite que las herramientas escritas en diferentes idiomas y para diferentes objetivos de software logren coherencia e interoperabilidad en torno a la producción y el consumo de SBOM.
“SPDX tampoco es solo para el cumplimiento. La especificación bien definida y en constante evolución también puede representar implicaciones de seguridad y cadena de suministro. Esto es increíblemente importante para la creciente comunidad de herramientas SBOM, ya que su objetivo es representar a fondo las complejidades del software moderno”, dijo Judge.
El formato SPDX facilita en gran medida el intercambio de datos de componentes de software en toda la cadena de suministro. Wind River ha estado proporcionando una lista de materiales de software a sus clientes utilizando el formato SPDX durante los últimos ocho años, observó Mark Gisi, director de la oficina del programa de código abierto de Wind River y presidente de OpenChain Specification.
“A menudo, los clientes solicitarán datos SBOM en un formato personalizado. La estandarización en SPDX nos ha permitido ofrecer un SBOM de mayor calidad a un costo menor”, dijo.
Para más detalles
Para obtener más información sobre cómo las empresas y los proyectos de código abierto utilizan SPDX, las grabaciones del ayuntamiento «Construyendo la ciberseguridad en la cadena de suministro de software» que se llevó a cabo el 18 de agosto de 2021 están disponibles y se pueden ver aquí.
